Von Cristian Ion, Head of Risk Analysis and Secure Engineering bei CYMOTIVE Technologies
Da war was los: Am 1. September haben mehr als 50 Taxis in Moskau einen veritablen Stau verursacht, weil Unbekannte die Taxi-App Yandex gehackt und zig Taxis zum Fili District am Kutuzovsky Prospekt geschickt haben. Nach einer Stunde war der Spuk vorbei, auch weil in den Taxis aktuell noch Menschen am Steuer sitzen. Es erinnert an den Vorfall Ende Juni in San Francisco, wo sich 30 fahrerlose Taxis der Firma Cruise auf einer Kreuzung versammelt und den Dienst eingestellt haben. Das hat stundenlang für Chaos und Staus gesorgt.
Die beiden Beispiele zeigen, dass Angriffe auf autonome Fahrzeuge für Hacker ein lohnendes Ziel sind: Um Fahrzeuge zu stehlen, Unfälle zu verursachen und die Reputation des Betreibers oder Herstellers zu schädigen, sich der Ladung zu bemächtigen oder gezielt Logistik-Transporte zu stören. Selbst Einsätze in Kriegs- oder Terror-Szenarios sind denkbar. Bei Uber hatte vor 4 Jahren der Tod einer Fahrradfahrerin (die von einem autonomen Prototyp überfahren wurde), zum Abbruch aller Entwicklungsaktivitäten geführt. Hier war ein Software-Fehler (und kein Angriff) die Ursache, dennoch zog der Reputationsverlust einen Investitionsschaden von mehreren 100 Millionen Dollar nach sich.
IT-Security gehört zu den Core-Funktionalitäten im Auto
Autohersteller und Zulieferer sind daher gut beraten, alle Fahrzeuge (nicht nur autonome) gegen Risiken zu schützen, die sich aus der immer komplexer werdenden Infrastruktur für vernetzte Fahrzeugen und Smart Mobility ergeben. Aktuell ist das noch nicht der Fall. Dazu müsste ein Intrusion Detection System (IDS) jegliche elektronische und elektrische Eingriffe ins Fahrzeug erkennen ‒ besonders wichtig bei Autos ohne Fahrer: Hier muss das autonome Vehikel selbst erkennen, ob Angreifer es verändert haben und Sensoren oder auch Sensorrückmeldungen physisch oder aus der Ferne manipuliert haben.
In Smart-City-Umgebungen sollen Fahrzeuge zukünftig mit vielen Akteuren (Ampeln, anderen Verkehrsteilnehmern, Fleet Control Centern) permanent verschlüsselte Daten austauschen und evaluieren, ob diese korrekt sind oder sein könnten. Dazu kommt die (verschlüsselte) Kommunikation mit allen Onboard-Sensoren und -Komponenten.
Software-Skills unabdingbar notwendig
Dies erfordert hohe Rechenkapazitäten, spezialisierte KI-Chips, Cybersecurity-Know-how und umfassende Sicherheitsstrategien. Diese Kriterienliste allein macht schon deutlich, dass dazu hochentwickelte Software-Skills notwendig sind, die bei Autoherstellern häufig nicht in der notwendigen Reife gegeben sind.
Automobilfirmen müssen daher auf Partner wie Cymotive setzen, die als Cyber-Partner von VW seit 2016 sowohl das Automobil-Know-how als auch spezialisierte Cybersecurity-Fähigkeiten aufgebaut haben und auch die rechtlichen IT-Security-Rahmenbedingungen in allen wichtigen Automobilregionen der Welt kennen. Sie können Fahrzeughersteller von der Planung, Projektierung, Roll-out bis zum Lebenszyklusende von Fahrzeugen begleiten und unterstützen.
Fazit
Wer IT-Security für (autonome) Fahrzeuge auf die leichte Schulter nimmt, geht hohe Risiken ein, die (wie bei Uber) zu hohen Verlusten führen können. Nur Hersteller mit einem „Security-by-Design“-Ansatz, der alle Eventualitäten berücksichtigt, eine effektive Risiko-Minimierung im Blick hat und aktuelle Sicherheitssoftware einsetzt, werden langfristig erfolgreich sein.
